学习
实践
活动
专区
工具
TVP
写文章

CRT:一款针对Azure的CrowdStrike安全报告工具

该工具会在Azure AD/O365 租户中查询以下配置,并帮助广大研究人员寻找一些跟权限和配置有关的安全信息,以帮助组织更好地保护Azure环境的安全性。 功能介绍 Exchange Online(O365) Federation配置 Federation Trust 邮箱上配置的客户端访问设置 远程域的邮件转发规则 邮箱SMTP转发规则 邮件发送规则 授予“完全访问”权限的代理 授予任意权限的代理 具有“发送方式”或“发送代表”权限的代理 启用Exchange Online PowerShell的用户 启用“Audit Bypass”的用户 从全局地址列表 (GAL)中隐藏的邮箱 收集管理员审核日志记录配置设置 Azure AD 拥有KeyCredentials的服务主体对象 O365管理员组报告 代理权限和应用程序权限 查询租户合作伙伴信息:要查看租户合作伙伴信息 CRT会自动完成依赖组件的安装: ExchangeOnlineManagement AzureAD 注意:要返回所查询配置的完整范围,还需要以下角色: 全局管理员(Global Admin) 当全局管理员权限不可用时

19720
  • 广告
    关闭

    对象存储COS专场特惠,新用户专享存储包低至1元

    一站式解决数据备份、共享、大数据处理、线上数据托管的云端存储服务

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    避免顶级云访问风险的7个步骤

    在理想情况下,每个用户或应用程序应仅限于所需的确切权限。 实施最低特权的第一步是了解已授予用户(无论是人员还是机器)或应用程序哪些权限。下一步是映射所有实际使用的权限。 有两种类型的策略: •托管策略有两种类型:由云计算服务提供商(CSP)创建和管理的AWS托管策略,以及(组织可以在其AWS帐户中创建和管理的客户托管策略。 与AWS托管策略相比,客户托管策略通常提供更精确的控制。 •内联策略,由AWS客户创建并嵌入在身份和访问管理(IAM)标识(用户、组或角色)中。当最初创建或稍后添加身份时,可以将它们嵌入标识中。 这些还具有附加策略,可以间接授予用户访问其他资源的权限。就像用户本身一样,组可以附加到托管策略和内联策略。 角色是另一种类型的标识,可以使用授予特定权限的关联策略在组织的AWS帐户中创建。它类似于身份和访问管理(IAM)用户,但其角色可以分配给需要其权限的任何人,而不是与某个人唯一关联。

    14510

    案例分析:利用OAuth实施钓鱼

    第一步:申请授权 在这一步,网站IDP发起授权请求。比如说你想要从Office365获取用户的某些权限,那么你需要生成一个带有你想要请求的权限的链接,而权限则需要通过SCOPES这个参数来传递。 获取授权 当用户点击链接后会跳转到IDP(Microsoft, Google等)的授权接口,如果你还没登录,网站会要求你先登录,如果已登录,页面中会有个选择按钮让你选,YES或者NO,这个选择是将权限授予应用的最后一道屏障 为了更直观的演示整个过程,接下来在Sappo上创建一个app,用来作为end-point,我们将这个app命名为”MS PRO O365 AntiSpam”,目的是模仿AntiSpam Pro免费版,这样用户在查看的时候 我们选择使用Microsoft的邮箱账号来进行邮件的发送,并且将邮件的内容伪装成像来自AntiSpam Pro一样。我们在上面建立的app中已经集成了这样的功能,这里还需要选定一个攻击对象,如下图。 每次IDP发起API请求资源时都要附带上accessToken的原始数据,格式如下: Https://login.microsoftonline.com/common/oauth2/authorize

    77390

    Azure AD(四)知识补充-服务主体

    开始今天的分析 ------------------------------------我是分割线------------------------------------   上一周有介绍到Azure AD资源托管标识的内容 ,其实就包括如何去操作开启系统分配的托管标识,以及通过开启托管标识,VM如何去访问Azure 中的一些资源,如 “Key Vault” 等。 当应用程序被授予了对租户中资源的访问权限时(根据注册或许可),将创建一个服务主体对象。 Microsoft Graph ServicePrincipal 实体定义服务主体对象属性的架构。 必须在将使用应用程序的每个租户中创建服务主体,让它能够建立用于登录和/或访问受租户保护的资源的标识。 单租户应用程序只有一个服务主体(在其宿主租户中),在应用程序注册期间创建并被允许使用。 2 当 Contoso 和 Fabrikam 的管理员完成同意并向应用程序授予访问权限时,会在其公司的 Azure AD 租户中创建服务主体对象,并向其分配管理员所授予权限

    9420

    用微搭搭建企业级pc应用

    在弹出的页面输入数据源的名称和标识,点击确定按钮进行创建 创建好后,点击编辑按钮进入编辑模式 点击添加字段,增加我们需要的字段 1.1签到数据源 1.2签退数据源 2步骤一:创建应用 首先,登录低码控制台 ,点击应用管理,点击创建空白应用 在弹出的窗口中选择新建模型应用 输入应用名称和应用标识,选择签到和签退的数据源 点击确定就完成了应用的创建,应用创建好后,点击应用名称可以看到自动生成的页面 模型应用会根据数据源自动生成增删改查的页面 ,无需我们做任何干预,还是非常方便的 3步骤二:创建角色 在发布之前我们需要进行角色的创建和用户的授权,先点击角色权限 我这里是创建了两个角色,管理员可以操作所有,托管小屋的话不可以配置企业控制台的菜单 点击新建角色按钮,输入角色名称和角色标识。 角色创建好后,点击角色名称进行授权,先需要授予应用的权限 应用授权后还需要给与页面的权限 接着授予数据源的权限 接着授予企业工作台的权限 4步骤三:创建用户 角色建立了之后需要创建用户,点击新建用户按钮

    44440

    浅谈云上攻防——Web应用托管服务中的元数据安全隐患

    AWSElasticBeanstalkWorkerTier – 授予日志上传、调试、指标发布和工作程序实例任务(包括队列管理、定期任务)的权限,见下图: ? AWSElasticBeanstalkMulticontainerDocker – Amazon Elastic Container Service 授予协调集群任务的权限,见下图: ? 但是,一旦云厂商所提供的Web应用托管服务中自动生成并绑定在实例上的角色权限过高,当用户使用的云托管服务中存在漏洞致使云托管服务自动生成的角色凭据泄露后,危害将从云托管业务直接扩散到用户的其他业务,攻击者将会利用获取的高权限临时凭据进行横向移动 此外,可以通过限制Web应用托管服务中绑定到实例上的角色的权限策略进行进一步的安全加强。在授予角色权限策略时,遵循最小权限原则。 最小权限原则是一项标准的安全原则。 即仅授予执行任务所需的最小权限,不要授予更多无关权限。例如,一个角色仅是存储桶服务的使用者,那么不需要将其他服务的资源访问权限(如数据库读写权限授予给该角色。

    29620

    OAuth 2.0初学者指南

    OAuth通过在用户批准访问权限请求(客户端)应用程序授予令牌来执行此操作。每个令牌在特定时间段内授予对特定资源的有限访问权限。 1. OAuth2的工作方式类似 - 用户授予对应用程序的访问权限,以代表用户执行有限的操作,并在访问可疑时撤消访问权限。 资源所有者能够授予或拒绝访问资源服务器上托管的自己的数据。 iii)授权服务器:授权服务器获得资源所有者的同意,并向客户端发出访问令牌以访问资源服务器托管的受保护资源。 现在问题是,FunApp如何获得用户从Facebook访问他/她的数据的权限,同时告知Facebook用户已授予权限FunApp使Facebook能够与这个应用程序共享用户的数据? 4.注册客户端(FunApp)和获取客户端凭据: OAuth要求客户端授权服务器注册。

    41530

    史上最全零信任市场玩家大盘点

    与V**不同,ZTNA 默认拒绝对LAN的完全访问,仅提供对用户明确授予服务的访问权限。 ZTNA 通过多种方法应用这些原则: 将应用程序与公共互联网隔离: ZTNA 的特点之一是将应用程序访问与网络访问隔离,并且仅授予经过验证的用户对特定应用程序的访问权限。 这意味着可以仅根据需要授予用户对应用程序的访问权限。 持续监控和自适应执行:当用户获得访问权限时,访问控制不会停止。ZTNA 解决方案将提供自适应身份验证,在整个会话期间都会检查用户的授权。 在访问企业资源时,需要通过零信任架构核心组件中的身份与访问控制、风险管理中心、策略中心和访问代理中的各种能力,授予应用资源、系统资源和数据资源客体的访问权限。 投稿邮箱:pub@sdnlab.com 详情请参考:SDNLAB原创文章奖励

    16310

    浅谈云上攻防——国内首个对象存储攻防矩阵

    云平台账号非法登录 云平台提供多种身份验证机制以供用户登录,包括手机验证、账号密码验证、邮箱验证等。 在一些云上场景中,开发者使用云托管业务来管理其Web应用,云托管服务将使用者的业务代码存储于特定的存储桶中,并采用代码自动化部署服务在代码每次发生变更时都进行构建、测试和部署操作。 权限提升 通过Write Acl提权 对象存储服务访问控制列表(ACL)是与资源关联的一个指定被授权者和授予权限的列表,每个存储桶和对象都有与之关联的ACL。 因此,赋予子用户操作存储桶ACL以及对象ACL的权限,这个行为是及其危险的。 通过访问管理提权 错误的授予云平台子账号过高的权限,也可能会导致子账号通过访问管理功能进行提权操作。 与通过Write Acl提权操作不同的是,由于错误的授予云平台子账号过高的操作访问管理功能的权限,子账号用户可以通过访问管理功能自行授权策略,例如授权QcloudCOSFullAccess策略,此策略授予子账号用户对象存储服务全读写访问权限

    45620

    OAuth 2.0 协议学习笔记

    客户端使用访问令牌访问由资源服务器托管的受保护资源。 例如,最终用户(资源所有者)可以授予打印服务(客户端)访问其存储在照片共享服务(资源服务器)中的受保护照片的权限,而无需与打印服务共享其用户名和密码。 Oauth 里的四个角色 资源所有者 能够授予对受保护资源的访问权限的实体。 当资源所有者是个人时,它被称为最终用户。 资源服务器 托管受保护资源的服务器,能够使用访问令牌接受和响应受保护资源请求。 刷新令牌是一个字符串,表示资源所有者授予客户端的授权。 该字符串通常对客户端不透明。 令牌表示用于检索授权信息的标识符。 与访问令牌不同,刷新令牌仅用于授权服务器,永远不会发送到资源服务器。 授权服务器应该在选择如何接受请求的范围时考虑客户端身份,并且可以发布权限少于请求的访问令牌。 本规范没有为资源服务器提供任何方法来确保授权服务器该客户端颁发给定客户端提供给它的访问令牌。

    16630

    安排!国内首个对象存储攻防矩阵,护航数据安全

    云平台账号非法登录 云平台提供多种身份验证机制以供用户登录,包括手机验证、账号密码验证、邮箱验证等。 在一些云上场景中,开发者使用云托管业务来管理其Web应用,云托管服务将使用者的业务代码存储于特定的存储桶中,并采用代码自动化部署服务在代码每次发生变更时都进行构建、测试和部署操作。 权限提升 通过Write Acl提权 对象存储服务访问控制列表(ACL)是与资源关联的一个指定被授权者和授予权限的列表,每个存储桶和对象都有与之关联的 ACL。 因此,赋予子用户操作存储桶 ACL 以及对象 ACL 的权限,这个行为是及其危险的。 通过访问管理提权 错误的授予云平台子账号过高的权限,也可能会导致子账号通过访问管理功能进行提权操作。 此策略授予子账号用户对象存储服务全读写访问权限,而非单纯的修改存储桶以及存储对象的 ACL。

    23520

    SQL命令 GRANT(一)

    column-privilege - 一个或多个列出的列授予基本权限。 可用选项有SELECT、INSERT、UPDATE和REFERENCES。 多个用户可以多次授予一个用户相同的权限,但单个REVOKE会删除该权限。 特权是基于每个名称空间授予的。 如果角色名是分隔的标识符,则在分配时必须将其括在引号中。 多维数据集是不受模式名称限制的SQL标识符。 要指定多维数据集对象列表,必须指定CUBE(或cubes)关键字。 只能多维数据集授予SELECT权限。 但是,可以一个模式授予特权,该模式将特权授予该模式中所有现有的对象,以及在授予特权时该模式中不存在的所有未来对象。 如果表的所有者是_PUBLIC,则用户访问表不需要被授予对象权限

    32040

    逻辑漏洞概述

    由客体的属主自主对客体进行管理,自主决定是否将访问权限授予其他主体。 权限控制: 从控制力度看,可以将权限管理分为两大类: 功能级权限管理 数据级权限管理 从控制方向看,也可以将权限管理分为两大类: 从系统获取数据比如查询 系统提交数据比如删除修改 业务逻辑: 每个业务系统都具有不用的业务逻辑 会话管理问题 令牌(或是Request)具有含义的数据,如: 用户名称:user、admin、system 用户标识:0001、0002、0003 用户权限:admin、00101、01000 令牌可预测 修复总结: 水平越权: 设置合理的会话管理机制,将有关用户标识存在服务器上。 涉及到关于用户隐私的操作时从session中取出用户标识(如id)进行操作。 不要轻信用户的每个输入。 比如:参数校验、短信邮箱炸弹、关键参数不加密等等。 未加密风险:凭据、传输数据公开、资源信息泄露。

    21920

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • 分布式身份

      分布式身份

      腾讯云分布式身份(TDID)是一套构建于腾讯云区块链TBaaS平台上的功能齐备、简单易用、符合W3C标准的数字身份基础服务。TDID提供了一种机制,能够分布式地产生和验证全局唯一的标识符来标识各种实体;同时以加密安全,保护隐私并可由第三方进行机器验证的方式在网络上表达现实社会中各种类型的凭证。从而为实体之间跨机构、跨行业、跨地域的可信数字身份、数字凭证与数据交换提供基础设施。

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券